Počas posledných mesiacov Google venoval mimoriadnu pozornosť bezpečnostným problémom nájdený v jadre Linux a KubernetesRovnako ako v novembri minulého roka spoločnosť Google zvýšila veľkosť výplat, pretože spoločnosť strojnásobila odmeny za zneužitie za predtým neznáme chyby v jadre Linuxu.
Myšlienkou bolo, že ľudia môžu objaviť nové spôsoby, ako využiť jadro, najmä v súvislosti s Kubernetes bežiacim v cloude. Google teraz hlási, že program na vyhľadávanie chýb bol úspešný, za tri mesiace dostal deväť správ a výskumníkom vyplatil viac ako 175,000 XNUMX dolárov.
A to prostredníctvom blogového príspevku Google opäť zverejnil oznámenie o rozšírení iniciatívy platiť peňažné odmeny za identifikáciu bezpečnostných problémov v linuxovom jadre, platforme na orchestráciu kontajnerov Kubernetes, Google Kubernetes Engine (GKE) a konkurenčnom prostredí zraniteľnosti Kubernetes Capture the Flag (kCTF).
V príspevku sa to spomína teraz program odmien obsahuje ďalší bonus 20,000 XNUMX dolárov za zero-day zraniteľnosti pre exploity, ktoré nevyžadujú podporu užívateľského menného priestoru, a za demonštráciu nových exploitov.
Základná výplata za predvedenie pracovného exploitu na kCTF je 31 337 $ (základná výplata sa udeľuje účastníkovi, ktorý ako prvý preukáže pracovný exploit, ale bonusové výplaty možno použiť aj na nasledujúce exploity pre rovnakú zraniteľnosť).
Zvýšili sme naše odmeny, pretože sme si uvedomili, že ak chceme upútať pozornosť komunity, musíme naše odmeny zladiť s ich očakávaniami. Rozšírenie považujeme za úspešné, a preto by sme ho chceli predĺžiť minimálne do konca roka (2022).
Za posledné tri mesiace sme dostali 9 príspevkov a doteraz sme zaplatili viac ako 175 000 USD.
V publikácii to môžeme vidieť Celkom, berúc do úvahy bonusy, maximálna odmena za exploit (problémy identifikované na základe analýzy opráv chýb v kódovej základni, ktoré nie sú explicitne označené ako chyby zabezpečenia) môže dosiahnuť až 71 337 dolárov (predtým bola najvyššia odmena 31 337 USD) a za zero-day problém (problémy, na ktoré zatiaľ neexistuje riešenie) sa vypláca až 91,337 50,337 USD (predtým bola najvyššia odmena XNUMX XNUMX USD). Platobný program bude platný do 31. decembra 2022.
Je pozoruhodné, že za posledné tri mesiace Google spracoval 9 žiadostí cs informáciami o zraniteľnostiach, za ktoré sa zaplatilo 175-tisíc dolárov.
Zúčastnení výskumníci pripravili päť exploitov pre zero-day zraniteľnosti a dve pre jednodňové zraniteľnosti. Tri opravené problémy v jadre Linuxu boli zverejnené (CVE-1-2021 v cgroup-v4154, CVE-1-2021 v af_packet a CVE-22600-2022 vo VFS) (tieto problémy už boli identifikované cez Syzkaller a pre dva do jadra boli pridané opravy chýb).
Tieto zmeny zvyšujú niektoré 1-dňové exploity na 71 337 USD (oproti 31 337 USD) a prinášajú maximálnu odmenu za jeden exploit 91 337 USD (oproti 50 337 USD). Zaplatíme aj za duplikáty najmenej 20 000 USD, ak preukážu nové techniky využívania (namiesto 0 USD). Obmedzíme však aj počet odmien za 1 deň na iba jednu za verziu/zostavu.
Na každom kanáli je 12-18 vydaní GKE ročne a máme dve skupiny na rôznych kanáloch, takže základné odmeny 31 337 USD vyplatíme až 36-krát (bez obmedzenia bonusov). Aj keď neočakávame, že každá aktualizácia bude mať platnú 1-dňovú dodávku, radi by sme počuli opak.
V oznámení sa ako také uvádza, že súčet platieb závisí od niekoľkých faktorov: ak je zistený problém zraniteľnosťou nultého dňa, ak vyžaduje neprivilegované menné priestory používateľov, ak používa nejaké nové metódy využívania. Každý z týchto bodov prichádza s bonusom $ 20,000, čo v konečnom dôsledku zvyšuje platbu za pracovný exploit na $ 91,337.
Nakoniec sAk máte záujem dozvedieť sa o tom viac o poznámke si podrobnosti môžete pozrieť v pôvodnom príspevku Na nasledujúcom odkaze.